Google強(qiáng)化App Engine應(yīng)用程序安全，加入管理服務(wù)賬戶新功能

Google更新其無(wú)服務(wù)器應(yīng)用程序托管平臺(tái)App Engine，加入兩項(xiàng)新功能，除了提供用戶更多出站流量控制（Egress Controls）能力之外，也加入用戶管理服務(wù)賬戶，使得用戶能夠應(yīng)用最低權(quán)限，來(lái)增加在App Engine上應(yīng)用程序的安全性。

App Engine為一個(gè)完全托管的應(yīng)用程序平臺(tái)，對(duì)應(yīng)用程序的出站流量提供了一個(gè)IP地址池，讓用戶能夠不必管理網(wǎng)絡(luò)細(xì)節(jié)就能提供服務(wù)，對(duì)不少用戶方便且已經(jīng)足夠，不過(guò)，有部分App Engine用戶需要對(duì)出站請(qǐng)求進(jìn)行更多的控制，因此Google加入了新功能來(lái)滿足這些用戶的需求。

App Engine的出站流量控制新功能，借助Cloud VPC服務(wù)中的無(wú)服務(wù)器VPC訪問(wèn)功能，無(wú)服務(wù)器VPC訪問(wèn)功能，可讓用戶配置連接器，將請(qǐng)求從App Engine應(yīng)用程序路由到自己的VPC網(wǎng)絡(luò)，而出站流量控制，能使用戶更好地控制使用VPC連接器的流量。

Google提到，出站流量控制的重要使用案例，是對(duì)App Engine的HTTP請(qǐng)求創(chuàng)建靜態(tài)出站IP地址，因?yàn)椴糠諥pp Engine用戶提供的SaaS服務(wù)，必須連接到終端用戶網(wǎng)絡(luò)，不過(guò)這些終端用戶通常傾向只對(duì)特定來(lái)源IP的流量打開防火墻，而借由出站流量控制，用戶就可以使用無(wú)服務(wù)器VPC訪問(wèn)和Cloud NAT來(lái)配置靜態(tài)IP地址。

App Engine另一項(xiàng)新功能，是讓用戶可以對(duì)每個(gè)應(yīng)用程序版本，指定不同的服務(wù)賬戶。目前App Engine使用默認(rèn)服務(wù)賬戶，來(lái)代表App Engine應(yīng)用程序和其他GCP服務(wù)交互，而這個(gè)默認(rèn)服務(wù)賬戶，是在初始App Engine應(yīng)用程序過(guò)程中設(shè)置的，用戶可以管理并授給該服務(wù)賬戶的權(quán)限，但因?yàn)檫@個(gè)賬戶被應(yīng)用程序的所有服務(wù)使用，因此無(wú)論特定服務(wù)需要的權(quán)限為何，所有服務(wù)都共享同一個(gè)權(quán)限集。

而現(xiàn)在Google加入用戶管理服務(wù)賬戶新功能，讓用戶可以對(duì)應(yīng)用程序的每個(gè)版本，指定使用不同的服務(wù)賬戶，限制每個(gè)服務(wù)賬戶僅具執(zhí)行任務(wù)需要的權(quán)限，而非對(duì)單一共享服務(wù)賬戶，授給應(yīng)用程序中的所有服務(wù)需要的權(quán)限，好處是用戶可以遵循最低權(quán)限的最佳實(shí)踐。當(dāng)用戶未指定服務(wù)賬戶，則App Engine使用默認(rèn)服務(wù)賬戶。